Check-Point-Box: sicher, aber komplex

Dipl. Inform. Johann Baumeister blickt auf über 25 Jahre Erfahrung im Bereich Softwareentwicklung sowie Rollout und Management von Softwaresystemen zurück und ist als Autor für zahlreiche IT-Publikationen tätig. Sie erreichen ihn unter jb@JB4IT.de
Die Sicherheits-Appliance "UTM-1" erwies sich im Test als nicht ganz so pflegeleicht wie versprochen.

UTM-Appliances (Unified-Threat-Management) sind Produkte, die verschiedene Sicherheitslösungen in sich vereinen. Meist umfassen die All-in-one-Systeme die Funktionen eines Virenscanners, eines Intrusion-Prevention-Systems (IPS) samt Anti-Spyware, eines VPN-Gateways sowie einer Firewall. Check Points UTM-1-Appliance bietet neben den erwähnten Kernfunktionen eine Application- und Stateful-Inspection-Firewall sowie Sicherheitsvorkehrungen für VoIP, Instant Messaging (IM) und die Peer-to-Peer-Kommunikation. URL-Filtering ist laut Hersteller mitterweile ebenfalls verfügbar. Die Kombination mehrerer Sicherheitsfunktionen in einer Box soll die Verwaltung erheblich vereinfachen und die Appliance daher vor allem für gehobene Mittelständler ohne spezielles Sicherheitspersonal attraktiv machen.

So wurde getestet

• Die Appliance wurde in ein Testnetz aus mehreren Rechnern mit verschiedenen Betriebssystemen installiert.

• Der Konfigurations-Client zum Einrichten der UTM-Box war mit Windows 2000 Professional und dem Internet Explorer ausgestattet.

• Es wurden drei Netzsegmente festgelegt - zwei interne und das externe des Internets.

Fazit

Die UTM-1-Appliance von Check Point kann die Sicherheitsanprüche bestimmt erfüllen. Ihr Einsatz erwies sich aber als nicht ganz so einfach, wie es alle Beteiligten gerne hätten. Dazu ist die Materie offenbar doch zu komplex. Das generelle Abschotten von allen Internet-Diensten kann trotzdem kaum die Lösung sein. Dedizierte und ausgefeilte Freigaben für bestimmte Dienste, Protokolle und Personen erfordern jedoch eine tief gehende Auseinandersetzung mit den Konzepten und der Software der Appliance. Kurz: Das Gerät erfüllt seinen Zweck, zum Kinderspiel wird Security aber auch damit nicht.

Architektur

Wir testeten die Appliance "UTM-1 1050", das mittlere der drei verfügbaren Check-Point-Modelle, die sich primär in ihrer Leistung unterscheiden. Das System basiert auf Red-Hat-Linux, das zusammen mit den UTM-Funktionen von der integrierten Festplatte gestartet wird. Auf der Vorderseite des 19-Zoll-Einschubs befinden sich ein serieller Konsolenanschluss, zwei USB-Ports sowie acht Netzanschlüsse - jeweils vier für 10/100 Mbit und vier für 10/100/1000 Mbit. Die Netzports hat Check Point bereits vorkonfiguriert und die Anschlüsse der Box entsprechend beschriftet. Sie lassen sich allerdings durch eigene Konfiguration auch frei verwenden.

Einstellung und Monitoring erfolgen über einen Browser beziehungsweise eine Windows-Applikation. Boot-Informationen können auch über den seriellen Konsolenport ausgelesen werden. Über zwei LEDs auf der Vorderseite des Geräts lässt sich die generelle Verfügbarkeit - etwa der Boot-Status - verfolgen.

Im Fehlerfall lässt sich das Gesamtsystem über ein mitgeliefertes Setup auf einem USB-Schlüssel schnell wieder in den Lieferzustand versetzen. Dabei geht die bestehende Konfiguration allerdings verloren, wenn sie nicht gesichert wurde. Sollte die Festplatte ausgetauscht werden müssen, lässt sie sich über eine mitgelieferte CD neu einrichten. Der Datenträger enthält auch die gesamte Dokumentation sowie die Windows-Verwaltungssoftware.

Für unseren Test wurde die Check-Point-Appliance in ein Testnetz aus mehreren Rechnern mit unterschiedlichen Betriebssystemen installiert. Der Konfigurations-Client zum Einrichten der Box war mit Windows 2000 Professional und dem Internet Explorer bestückt.

Setup und Installation

Check Point stellt zur Verwaltung der Appliance zwei separate Administrationsprogramme bereit. Ein Browser-basierendes dient der grundlegenden Inbetriebnahme und Integration der Box ins Netz. Beim zweiten Tool, der "Smartconsole", handelt es sich um eine vollständige Windows-Applikation für die weitere Verwaltung der Sicherheitsfunktionen - etwa der Security-Regeln oder des Virenscanners.

Das Setup des Geräts war im Test nach wenigen Minuten abgeschlossen. Die eigentliche Arbeit besteht allerdings darin, die vorhandene oder gewünschte Netztopologie und alle weiteren benötigten Konfigurationseinstellungen zu ermitteln. Selbst wenn das Benutzer-Interface Einfachheit suggeriert - eine Vorabschulung zu den Konzepten von Firewalls, VPNs, IPS oder Virenscannern ist zu empfehlen.

In den Basiseinstellungen des Herstellers ist die IP-Adresse bereits festgelegt. Daher muss der Konfigurations-Client in das gleiche IP-Segment integriert werden. In unserem Test gelang es innerhalb kurzer Zeit, per Browser eine Verbindung zur Box herzustellen. Bei der initialen Konfiguration des Geräts durch das Browser-Setup werden grundlegende Einstellungen wie Netzsegment, Routing-Verhalten, DNS oder Angaben zur Domäne festgelegt.

Im Test legten wir drei Netzsegmente - zwei interne und das externe Segment des Internets - fest. Letzteres erreicht die Firewall über einen Router. Intern wurde die Verbindung zu einem 16-Port-Switch und dann weiter zu den Endgeräten geschaltet. Auch diese Konfiguration ist, sofern man die Angaben parat hat, nicht sehr aufwändig.

Unter dem Punkt "Appliance" sind allgemeine Administrationsarbeiten vorzunehmen - etwa das Festlegen grundlegender Sicherheitsparameter für das Login an der Appliance sowie Angaben zum Shutdown, Reboot oder zu weiteren Diagnosefunktionen. Prinzipiell ist auch diese Konfiguration schlüssig. Ein Wermutstropfen: Es gelang uns nicht, ein Passwort mit sechs Zeichen (samt Sonderzeichen) zu vergeben, was laut Beschreibung möglich sein soll. So wurde "Pas#01" oder "Asd#01" mit dem Hinweis zurückgewiesen, es handle sich dabei um ein "begriffliches Wort". "Asdf#01" wiederum wurde akzeptiert. So irrelevant diese Ungereimtheit auch sein mag: Speziell bei Sicherheitsprodukten sollten - schon aus Gründen des Vertrauens - keine Fehler auftreten.

Konfiguration kein Kinderspiel

Zu den allgemeinen Konfigurationsangaben im Menüpunkt "Appliance" gehören ferner die Einstellung von Datum und Uhrzeit sowie die optionale Integration eines NTP-Servers (Network Time Protocol-Server) zur Zeitsynchronisation. Ein weiterer Block betrifft die Sicherung der Appliance mit ihren Programmen und Logging-Daten. Damit lässt sich der aktuelle Zustand des Sicherheitsprodukts als Image sichern und auf einem zweiten Gerät einrichten. Die Log-Daten können auf der lokalen Platte der Appliance, auf dem Verwaltungs-Desktop oder auf einem TFTP- beziehungsweise einem SCP-Server (Secure Copy Protocol) abgelegt werden.

Die Konfiguration der eigentlichen Sicherheitsfunktionen - etwa der Firewall und des Virenscanners - oder die VPN-Definition sind bedeutend komplexer. Dazu dient die Smartconsole. Diese benötigt einen Management-Server, der seinerseits wieder mit der oder den Appliances kommuniziert. Die einzelnen Funktionsbausteine der Software, wie etwa die Firewall- oder VPN-Verwaltung, lassen sich separat installieren und verwalten.

Smartconsole umfasst mehrere Module: das Dashboard als zentrales Verwaltungswerkzeug, das Tracking-Tool zum Betrachten und Auslesen der Logging-Daten, einen Monitor zur laufenden Überwachung der Firewall-Funktionen, das Berichtswerkzeug ("Eventia Reporter") sowie spezielle Module etwa für das Laden von Updates und die Lizenzverwaltung der Software.

Eine Vielzahl von Funktionen

Die Smartconsole wird auch zur Verwaltung aller anderen Sicherheitsprodukte von Check Point herangezogen. Durch die Trennung der Funktionsbausteine lässt sich auch eine rollenbasierende Verwaltung realisieren. Für den Betrieb einer einzelnen Appliance beinhaltet die Verwaltungssoftware allerdings mehr Funktionen und Anforderungen, als für eine einfache Absicherung notwendig wären.

Nach dem Aufruf präsentiert sich die Management-Konsole mit einem hierarchischen Verwaltungsbaum. Darin eingebettet sind die Elemente der Check-Point-Geräte, die Netze, die Domänen, die Gruppen sowie dynamische Objekte. Die Netztopologie bildet das Werkzeug grafisch in einer "Smart Map" ab.

Zentraler Bestandteil der Konfiguration ist der Aufbau der Regeln. Nach dem initialen Setup sperrt die Firewall aus Sicherheitsgründen zunächst alle Durchgänge. Daher müssen alle erlaubten Kommunikationswege zunächst explizit eingerichtet werden. Im Test haben wir dazu eine erste Firewall-Regel erstellt, die das Surfen ermöglicht. Bis dahin ließ sich die Konfiguration einfach und flott abwickeln - spätestens an dieser Stelle kommt der Administrator aber nicht mehr umhin, sich mit den Grundlagen der Internet-Kommunikation auseinanderzusetzen.

Umfängliche Konzepte

Um das Surfen im Web zu ermöglichen, muss das interne mit dem externen Netz via DNS, http und HTTPS kommunizieren. Wenngleich die Erstellung der Regel einfach ist, die Konzepte dahinter sind es nicht. Das Werkzeug offeriert geschätzte 300 Protokolle, aus denen es die richtigen auszuwählen gilt. Bei der Definition unschön gelöst ist die Suche in der Masse der Protokolle - gut hingegen, dass sich diese aus bereits bestehenden Regeln einfach per Drag-and-Drop übernehmen lassen.

Für jede Regel gilt es, neben dem Kommunikationspfad eine Vielzahl weiterer Parameter zu bestimmen. Dazu gehört die Angabe, ob eine Protokollierung, Authentifizierung oder Adressumsetzung (NAT) erfolgen soll, oder wann und für wen die Regel anzuwenden ist. Bei Check Point kann eine Policy mehrere Regeln umfassen, die wiederum auf die einzelnen Geräte anzuwenden sind.

Änderungen aktivieren

Im Test wurde das Regelwerk erweitert und der Zugriff auf FTP-Sites unterbunden. Auch diese Einstellung wurde von der Appliance korrekt umgesetzt. Anschließend wurde das Netz-Layout um ein internes LAN-Segment ergänzt. Die Definition war einfach, und auch die Regeln waren schnell erstellt. Zu Testzwecken lässt sich eine Regel temporär deaktivieren, um sie nicht ganz entfernen zu müssen. Alle vorgenommenen Änderungen sind jedoch explizit zu aktivieren.

Bei der Übertragung der Regeln auf die Appliance prüft die Konsole auch, ob das Regelwerk insgesamt schlüssig ist. Widersprüchliche oder doppelte Regeln - wie im Test erfahren - werden aufgedeckt. Darüber hinaus wird die Versionierung aller Regeln in der Datenbank protokolliert. Auf Wunsch lässt sich somit auf einen älteren Zustand und dessen Regelsatz zurückgreifen.

Im Test erhielten wir eine Fehlermeldung ("No Memory") bei der Aktivierung. Die Suche nach der Ursache erwies sich als kompliziert, denn Hilfen zu Fehlermeldungen im Tool gibt es nicht. Der Support empfahl, die Regel zu löschen und neu aufzubauen. Daraufhin klappte es. Hier zeigt sich, dass die Hinweise in Software und Handbuch noch ausbaufähig sind. Insbesondere der anvisierten Zielgruppe, dem Mittelstand ohne Firewall-Fachkräfte, sollte hier mehr Hilfe geboten werden.

Neben diesen Firewall-Funktionen enthält die Appliance eine Reihe weiterer Sicherheitselemente. Unter dem Punkt "Content Inspection" sind die Antivirus-Funktionen eingruppiert. Im Test experimentierten wir mit dem Virenscan: Die Testviren wurden korrekt erkannt und wie gewünscht eliminiert.

Ein weiterer Bestandteil der UTM ist die Verwaltung von VPN-Verbindungen über IPsec und Secure Sockets Layer (SSL). Auch diese ließen sich im Test verhältnismäßig schnell einrichten. Parallel dazu ist es möglich, für die VPN-Clients eine Desktop-Firewall samt Policies festzulegen. Unter "Smart Defense" sind alle Funktionen zusammengefasst, die gemeinhin als IPS bezeichnet werden. Auch hier liefert das Werkzeug eine Vielzahl bereits vorhandener Definitionen - etwa zur Vermeidung von SQL- und Command-Injections, Cross-Site-Scripting oder Directory-Traversal. Ein weiterer Funktionszweig widmet sich dem Bandbreiten-Management. (kf)